【51CTO.com 独家特稿】红帽企业版5.4正式版已于2009年9月发布,笔者在51CTO编辑帮助下拿到DVD安装盘,下面介绍一下十天左右的使用感受,供广大网友参考。
一 从安装开始
下面介绍一下安装过程的亮点,红帽企业版5.4主要针对的是企业用户安全是关注的重点,红帽企业版5.4相比上个版本开始从安装支持对分区文件系统加密,如图-1 。
图1 |
图-1 对分区文件系统加密
加密的分区(/dev/sda2)会有符号显示如图-2 。
图2 |
图-2 加密的分区(/dev/sda2)会有符号显示
当然还可以在安装过程对引导配置进行加密如图-3。
图3 |
图-3 对引导配置进行加密
另外安装过程的结尾阶段在“验证配置”方面提供企业级的方式包括:本地(etc/password),LDAP ,NIS, Winbind、Hesiod多种方式。如图-4。
图4 |
图 -4 用户身份验证方法
相信在主流Linux 发行版本中是比较全面的 ,用户可以根据 自己对安全 的需要选择。对于安全性要求较高的用户可以进行Hesiod或者LDAP的网络登录。
启用NIS支持:选择该选项来把系统配置成连接 NIS 服务器来验证用户和口令的 NIS 客户。点击配置NIS按钮来指定 NIS 域和 NIS 服务器。如果 NIS 服务器没有被指定,守护进程会试图通过广播来寻找它。你必须安装了ypbind 软件包才能使这个选项奏效。如果启用了 NIS 支持,portmap 和 ypbind 服务会被启动,它们也会在引导时被启用。
启用LDAP支持:选择这个选项来配置系统来通过 LDAP 检索用户信息。点击“配置 LDAP”按钮来指定“LDAP 搜索基准 DN”和“LDAP 服务器”。如果“使用 TLS 来加密连接”被选择,传输层安全就会被用来加密发送给 LDAP 服务器的口令。你必须安装 openldap-clients 软件包才能使这个选项奏效。
启用Hesiod支持:选择这个选项来配置系统来从远程 Hesiod 数据库中检索信息,包括用户信息。你必须要安装 hesiod 软件包。
启用Winbind支持:选择这个选项使系统可以连接到Windows Active Directory或者Windows domain controller。
在验证界面同样有多种选择包括智能卡登录,如图-5 。
图5 |
图-5 智能卡设置
智能卡登录是利用电脑上的 usb 接口,将智能卡插入通过验证智能卡内的用户证书来登录Linux的一整套过程,当系统启动后,提示用户插入智能卡,如果不插入智能卡,或者插入的智能卡不是保护当前用户的,都会被提示说请插入有效的智能卡,当用户将正确的智能卡插入 电脑的 usb 接口后,系统会开始自动验证,并提示用户输入智能卡的密码,如果输入的智能卡密钥有误的话,用户也无法登录,这样做的优点是,第一,用户要插入有效的智能 卡才能登录,第二,用户还要输入智能卡的密码,此密码只有用户自己知道,这样就确保了当用户的智能卡丢失或者被复制后,其他人想利用智能卡登录时还要输入 智能卡登录系统的密码,这样对系统起到了双层保护。另外安装的最后过程系统会极力推荐您建立红帽的登录帐号服务,其他安装部分笔者感觉和上一个版本 以及其他竞争对手基本持平,没有什么可以评论的。如果前面选择了“对分区文件系统加密” 那么每次登陆系统过程中要输入密码才可以正常启动如图-6 。
图6 |
图-6 每次登陆系统过程中要输入密码才可以正常启动
二 解读红帽企业版5.4操作
对于多媒体以及办公方面笔者感觉Linux 在最近两三年已经做得相当不错了可惜由于惯性原因还是不能占据桌面市场。还是看看笔者关心的企业级应用部分。
1 eCryptfs 加密
红帽企业版5.4开始支持eCryptfs 加密,eCryptfs 是在 Linux 内核 2.6.19 版本中引入的一个功能强大的企业级加密文件系统,堆叠在其它文件系统之上(如 Ext2, Ext3, Ext,4 ReiserFS, JFS 等),为应用程序提供透明、动态、高效和安全的加密功能。本质上,eCryptfs 就像是一个内核版本的 Pretty Good Privacy(PGP)[3] 服务,插在 VFS(虚拟文件系统层)和 下层物理文件系统之间,充当一个“过滤器”的角色。用户应用程序对加密文件的写请求,经系统调用层到达 VFS 层,VFS 转给 eCryptfs 文件系统组件(后面会介绍)处理,处理完毕后,再转给下层物理文件系统;读请求(包括打开文件)流程则相反。eCryptfs 的设计受到OpenPGP 规范的影响,使用了两种方法来加密单个文件:
1. eCryptfs 先使用一种对称密钥加密算法来加密文件的内容,推荐使用 AES-128 算法,密钥 FEK(File Encryption Key)随机产生。有些加密文件系统为多个加密文件或整个系统使用同一个 FEK(甚至不是随机产生的),这会损害系统安全性,因为:a. 如果 FEK 泄漏,多个或所有的加密文件将被轻松解密;b. 如果部分明文泄漏,攻击者可能推测出其它加密文件的内容;c. 攻击者可能从丰富的密文中推测 FEK。
2. 显然 FEK 不能以明文的形式存放,因此 eCryptfs 使用用户提供的口令(Passphrase)、公开密钥算法(如 RSA 算法)或 TPM(Trusted Platform Module)的公钥来加密保护刚才提及的 FEK。如果使用用户口令,则口令先被散列函数处理,然后再使用一种对称密钥算法加密 FEK。口令/公钥称为 FEFEK(File Encryption Key Encryption Key),加密后的 FEK 则称为 EFEK(Encrypted File Encryption Key)。由于允许多个授权用户访问同一个加密文件,因此 EFEK 可能有多份。 这种综合的方式既保证了加密解密文件数据的速度,又极大地提高了安全性。虽然文件名没有数据那么重要,但是入侵者可以通过文件名获得有用的信息或者确定攻击目标,因此,最新版的 eCryptfs 支持文件名的加密。
eCryptfs 使用方法
eCryptfs 需要相应的内核模块和用户态的工具同时配合使用。用户态的工具可以从 https://launchpad.net/ecryptfs 获得,使用Ubuntu 系统的用户,用 apt-get 命令安装 ecryptfs-utils 包即可。
mount -t ecryptfs real_path ecryptfs_mounted_path。推荐ecryptfs_mounted_path 和 真实目录 real_path 一致,这样非授权用户不能通过原路径访问加密文件。图-7 是挂载界面。
图7 |
图-7 挂载界面
另外红帽企业版5.4 还提供了一个eCryptfs 加密图形化前端如图-8 。
图8 |
eCryptfs 加密图形化前端如图-8
通过eCryptfs 加密图形化前端您可以更加方便进行操作。
2 TrouSerS
除了和其他Linux 发行版本 共有的 用户和组管理 、selinux和防火墙外TrouSerS功能比较有特色: TrouSerS支持TPM ,TPM(Trusted Platform Module)可信任安全平台模组TCG(Trusted Computing Group)信赖运算集团所推广的资讯安全防护技术规格,包括Intel、IBM、HP、AMD、Sony、Sun Micro及微软等资讯大厂都是这个组织的支持厂商。简单来说,TPM可以利用公开金钥架构(PKI)产生无法复制读数位签章,以验证存取资料平台及硬碟的身份,提供个别平台的资料防护;此外,有的TPM晶片还具有储存密码或使用者 资料的功能,或额外整合一些安全机制等。对使用者来说,TPM最直接的好处就是可以直接对档案或资料匣进行加密,一旦被TPM加密过的档案资料,基本上就具有双重防护,一方面是开启被加密档案本身必须有一组密码,另外,还需与TPM晶片搭配才能开启档案;也就是说即使被骇客窃取,由於少了TPM晶片,资料也无法被读取。应当是为移动办公的商务人士准备的。
3 远程网络安装设置
系统管理员通常要批量或者远程安装Linux 系统,红帽企业版5。4 提供了一个网络安装或者无盘站配置工具图-9是首次配置向导 。
图-9 首次配置向导
选择网络安装即可进入相关界面如图-10 。
图10 |
图-10 配置网络安装
网络安装协议类型支持:HTTP、NFS、FTP三种。如图-11 。
图11 |
图-11网络安装协议类型支持
4 设置存储管理
存储管理是Linux 服务器管理员的重要工作。这里包括逻辑卷基本方面如图 12 。
图12 |
图-12 逻辑卷界面
另外FCoE 驱动的加入,FCoE是使用基于以太网的光纤通道协议,而iSCSI则使用基于以太网的TCP/IP协议。前者让你可以通过以太网建立链接,连接到光纤通道SAN;后者可以通过同样的链接,连接到IP SAN。安装过程就可以设置iscsi磁盘如图-13 。
图13 |
图-13 设置iscsi磁盘参数
不过许多供应商认为,iSCSI是作为光纤通道SAN(IP-SAN)扩展产品来提供的。这是一个亮点。iSER支持使得ISCSI 管理更加方便。另外包括RAID 故障监控工具(dmraid 和 dmevent_tool)。
另外磁盘分析器可以扫描本地文件系统和远程文件系统也是非常实用的如图-14 。
图14 |
图-14 磁盘分析器可以扫描本地文件系统和远程文件系统
#p#
三 虚拟化应用
虚拟化应用是Linux 企业级应用的重点,红帽企业版5.4当然不会忽视主要包括两个工具:Xen 和KVM。相比上个版本多出一个KVM ,不过红帽还有Fedora Core项目其 Fedora Core 8 版本开始也在使用KVM。下面要看红帽在企业级方面的动作了。红帽企业版5.4虚拟化管理界面和红帽企业版5.3 基本相同如图-14 。虽然可在同一系统中安装 Xen 和 KVM,但它们的默认联网配置是不同的。强烈建议用户在一个系统中只安装一个监控程序。
图15 |
图-15 虚拟化安装管理程序及工具
KVM即Kernel-based Virtual Machine,KVM所采用的方法是只需通过加载一个内核模块就将Linux内核变成一个hypervisor(管理程序)。这个内核模块导出一个称为/dev/kvm的设备,此设备会启动内核的一个客户机模式(除传统的内核和用户模式之外的)。通过/dev/kvm,一个VM(虚拟机)拥有其自身的地址空间,这个地址空间与内核的地址空间相分离或与任何一个正运行着的VM相分离。设备树(/dev)中的设备对所有的用户空间程序都是公用的。但/dev/kvm与此不同,因为每一个打开它的过程都会看到一个不同的映像(用以支持VM的分离)。然后KVM简单地将Linux内核变为hypervisor管理程序(在你安装KVM内核时)。因为标准的Linux内核是hypervisor管理程序,它从对标准内核的改变中获益(存储支持、调度程序等等)。对这些Linux部件的优化(如在2.6内核中的新O(1)调度程序)既有利于hypervisor管理程序(主机操作系统)又有利于Linux客户机操作系统。一个典型的 KVM 安装包括以下部件:
一个管理虚拟硬件的设备驱动,这个驱动通过一个字符设备 /dev/kvm 导出它的功能。通过 /dev/kvm 每一个客户机拥有其自身的地址空间,这个地址空间与内核的地址空间相分离或与任何一个正运行着的客户机相分离。
一个模拟硬件的用户空间部件,它是一个稍微改动过的 QEMU 进程。从客户机操作系统执行 I/O 会拥有 QEMU 。 QEMU 是一个平台虚拟化方案,它允许整个 PC 环境(包括磁盘、显示卡(图形卡)、网络设备)的虚拟化。任何客户机操作系统所发出的 I/O 请求都被拦截,并被路由到用户模式用以被 QEMU 过程模拟仿真。
红帽企业版 Linux 5.4 现在包含对 x86_64 构架中基于内核的虚拟机(KVM)监控程序的全部支持。KVM 是整合到 Linux 内核中,可在红帽企业版 Linux 中提供稳定、多种特性以及内嵌硬件支持的虚拟化平台。在各种不同客户端操作系统中都可支持使用 KVM 的虚拟化,其中包括:
红帽企业版 Linux 3
红帽企业版 Linux 4
红帽企业版 Linux 5
Windows XP
Windows 服务器 2003
Windows 服务器 2008
运行 KVM,你需要一台运行 2.6.20 以上 Linux 内核的 Intel 处理器(含 VT 虚拟化技术)或 AMD 处理器(含 SVM 安全虚拟机技术的 AMD 处理器)。
小贴士:如何确认处理器含有 Intel VT 或 AMD-V 技术
基于 Intel 处理器的系统,运行 grep vmx /proc/cpuinfo 查找 CPU flags 是否包括 vmx 关键词# grep vmx /proc/cpuinfo
基于 AMD 处理器的系统,运行 grep svm /proc/cpuinfo 查找 CPU flags 是否包括 svm 关键词# grep svm /proc/cpuinfo
一些厂商禁止了机器 BIOS 中的 VT 选项 , 这种方式下 VT 不能被重新打开。/proc/cpuinfo 仅从 Linux 2.6.15(Intel) 和 Linux 2.6.16(AMD) 开始显示虚拟化方面的信息,请使用 uname -r 命令查询您的内核版本。
四、文件系统和其他工具
文件系统方面是是ext4 文件系统的引入。针对 Linux 的扩展文件系统有着漫长而丰富的历史 — 从 1992 年首次引入 ext1 到 2008 年引入 ext4。ext4 是首个专门为 Linux 设计的文件系统,并且事实证明它是高效、稳定、强大的文件系统。ext4 随着文件系统研究的深入而不断发展,并且借鉴其他新文件系统的先进思想(比如 XFS、JFS、Reiser 和 IRON 容错文件系统技术)。最值得一提的是,ext4 支持 1 EB 的文件系统。ext4 是由 Theodore Tso(ext3 的维护者)领导的开发团队实现的,并引入到 2.6.19 内核中。到底 ext4 文件系统的性能怎么样呢?希望这篇来自于 Phoronix 的评测可以解答部分疑问,文章链接:http://www.phoronix.com/scan.php?page=article&item=ext4_benchmarks&num=1 。在 Bonnie++,IOzone, 和 Flexible IO Tester 三个纯理论性能测试软件中 EXT4 取得了八项测试中五项第一,XFS 取得了剩余三项的第一名。在 Nexuiz,World of Padman,和 Unreal Tournament 2004 这三个游戏的测试中,四个文件系统的表现十分相近,这意味着迁移文件系统到 EXT4 或者 XFS 上并不能获得更高的游戏运行帧速。文件压缩测试中,EXT4 和 XFS 一起分享了头把交椅。而在多媒体编码测试中,四个文件系统各有胜负,这意味着高清爱好者们并不需要立刻切换到新的文件系统上,老的 EXT3 依然不错。这一点同样体现在加密测试中,EXT3 摘得 GnuPG 加密测试冠军,而 EXT4 则占据 Bork 加密测试的性能表现宝座。
软件开发方面主要是Gcc 4.4 的加入。作为Linux平台下最常用的编译器,GCC提供了强大的编译能力和良好的平台通用性,其重要性不言而喻。编译优化是它的一大特点,除了可以对软件代码进行不同程度的分析优化外,GCC还可以根据处理器的结构特性在编译中对代码进行有针对性的编排组合,以更加高效地运行于目标平台。GCC 4.4 相对于 4.3 版最大的变化就是对 C++ 0x 标准支持有了大幅提升,已支持的 0x 特性中,thread 已经可用,api 方面基本上与 pthread 规范相一致,熟悉 pthread 的人能很快上手。因为 pthread 规范已经非常成熟,所以在 C++ 中支持 thread 只是标准方面的问题(看 4.4 的头文件可知,在支持 pthread 的平台上,mutex 和 condition_variable 等直接映射到 pthread 相应类型),不过,C++ 作用域之后变量被析构,使得程序员可以直接在临界区的作用域内声明 lock_guard
FreeIPMI提供带内和带外的IPMI软件基础上的IPMI v1.5/2.0规范。它有许多有用的功能的大型高性能计算或集群环境。另外OpenAIS 目前提供除多播外的广播网络沟通。这个功能是作为单独使用 OpenAIS 以及与群集套件一同使用的技术预览出现的。请注意:将 OpenAIS 配置为使用广播的功能还没有整合到群集管理工具中,必须手动配置。
五、最后看看笔者眼中的红帽企业版5.4不足之处
添加删除程序问题:
红帽企业版 5和红帽企业版 4 其中一点不同就是添加或删除程序所使用的软件不同,一个显著的改变就是一些软件的管理和维护移动到了YUM。在先前版本的红帽企业版 4中,up2date命令可以用于从Red Hat网络中下载并安装软件更新。它已经被YUM命令替代,所有的up2date图形化程序都已经被使用YUM的图形化程序所替代。从红帽5到5.3都发现浏览和列表都是空的,红帽企业版 4 有所改进但是浏览栏目还是空的如图-16 。
图16 |
图-16 红帽企业版4 浏览栏目还是空
不过是一个小bug修改一下存储管理器添加一个本地存储库即可修复。如图-17 。
图17 |
图-17 添加一个本地存储库
另外笔者感觉红帽企业版 5.4 的服务设置比较保守,笔者安装后运行游戏ntsysv 发现isdn的守护进程还是设置为自动启动,目前可能几乎没有多少人还在使用该网络连接了。
笔者手中的红帽企业版5.4版本中的蓝牙管理软件笔者没有找到。可考虑到是笔者版本为Server版本,主要面向SMB甚至是大型企业中的服务器系统可能出于安全策略没有配置蓝牙无线设备。不知道Fedora Core版本是否包括。
综合评价:
为了能使大家对红帽企业版5.4有一个全面、客观的认识,笔者从多个角度为红帽企业版5.4打一个分值,供大家参考。说明笔者考量的是企业级应用 ,对于桌面/浏览器/办公软件方面笔者没有涉及,以下仅供参考。
安装:85分。安装程序安全性能比较高。
硬件支持:85分。亮点是支持硬件较新\较全,更新i810,intel,mga,ATI和nv的驱动,另外一些集成网卡声卡也可以自动安装驱动。
中文支持:85分。
企业级应用:85分。基本上所有局域网服务器都可以配置 ,但是在isns 方面落后于Suse 11。
系统功能:90分。
程序运行速度:85分。
总分:87分。
【51CTO.COM 独家特稿,转载请注明出处及作者!】